
■p/pTP '^^•'ELTORGANISATION FtjR GEISTIGES EIGENTC 

jr IL Internationales Bflro 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG tJBER DIE 
INTERNATIONALE ZUSAMMENARBEIT AUF DEM GEBIET DES PATENTWESENS (PCT) 



(51) Internationale Patentklassifikation : 
H04B 7/00 



A2 



(11) Internationale Veroffcntiichungsnumnier: WO 00/14895 

(43) Internationales 

Veroffentlichungsdatum: 1 6. M^rz 2000 ( 1 6.03.00) 



(21) Internationales Aktenzeichen: PCT/DE99/02836 

(22) Internationales Anmeldedatum:?. September 1999 (07.09.99) 

(30) Prioritatsdaten: 

198 40 742.4 7. September 1998 (07.09.98) DE 

(71) Anmelder (fiir alle Bestimmungsstaaten ausser US): DE- 

TEMOBIL DEUTSCHE TELEKOM MOBILNET GMBH 
[DE/DE]; Landgrabenweg 151, D-53227 Bonn (DE). 

(72) Erfinder; und 

(75) Erfinder/Anmelder (nur fur US): HAKE, Jens [DE/DE]; 
Sudweg 4b, D-09240 Kemtau (DE). THELEN, Jorg 
[DE/DE]; Nessclroderstrasse 27, D-53227 Bonn (DE). 



(81) Bestimmungsstaaten: AE, AL, AM, AT, AU, AZ, BA, BE, 
BG, BR, BY, CA, CH, CN, CR, CZ, DK, DM. EE, ES, FI, 
GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, 
KG, KR, KZ, LC, LK, LR, LS, LT, LU, LV, MD, MG, 
MK, MN, MW, MX, NO, NZ, PL, PT, RO, RU, SD. SE. 
SG, SI, SK, SL. TJ, TM, TR, TT, UA, UG, US. UZ, VN, 
YU, ZA, ZW, ARIPO Patent (GH, GM, KE, LS, MW, SD, 
SL. SZ, UG, ZW), eurasisches Patent (AM, AZ. BY, KG, 
KZ, MD, RU, TJ, TM), europSisches Patent (AT, BE. CH, 
CY, DE, DK. ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, 
PT, SE), OAPI Patent (BF. BJ, CF, CG. CI. CM, GA, GN, 
GW, ML, MR, NE, SN. TD, TG). 



Veroffentlicht 

Ohne internationalen Recherchenbericht und erneut zu 
verdffentlichen nach Erhalt des Berichts, 



(54) Title: METHOD FOR IMPROVING THE SECURITY OF AUTHENTICATION PROCEDURES IN DIGITAL MOBILE RADIO 
TELEPHONE SYSTEMS 



(54) Bezeichnung: VERFAHREN ZUR ERHOHUNG DER SICHERHEIT VON AUTHENTISIERUNGSVERFAHREN IN DIGITALEN 
MOBILFUNKSYSTEMEN 



(57) Abstract 

The invention relates to a method for improving the security of authentication procedures in digital mobile radio telephone systems. 
In order to make it more difficult if not impossible to work out a secret code KI, several different secret SIM-specific codes KI are contained 
in the mobile radio telephone network and on a subscriber identity module SIM and a code KI for the implementation of said authentication 
is selected from the various secret codes thus contained during the authentication process between the subscriber identity module and the 
mobile radio telephone system pertaining to said SIM. 



(57) Zusammenfassung 

Die Erfindung betrifft ein Verfahren zur Erhohung der Sicherheit von Authentisierungsverfahren in digitalen Mobilfunksystemen. Um 
ein Ausspahen des geheimen Schltissels KI zu erschweren, bzw. nahezu unmOglich zu machen. wird vorgeschlagen, dass im Mobilfunknetz 
und auf einem TeilnehmeridentitStsmodul mehrere verschicden geheime, SIM-spezifische Schliissel KI vorgehalten werden, und bei der 
Authentisierung zwischen dem TeilnehmeridentitStsmodul und dem Mobilfunknetz von oder SIM aus den mehreren vorgehaltenen geheimen 
Schlusseln ein Schliissel KI fur die DurchfUhrung der Authentisierung ausgewahit wird. 
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Beschreibung 

5 

Verfaliren zur Kxrholiiing der Sicherhelt: voxi 

Authentisierungsverf ahren in dlglt:alexi £4obil£\inkSYSt:emezi 

10 Die Erfindung betrifft ein Verfahren zur Erhohung der 
Sictierheit von Authentisierungsverf ahren in digitalen 
Mobilf unksystemen nach dem Oberbegriff des Patentanspruchs 1. 

Moderne Mobilf unknetze beinhalten spezielle 

15 Sicherheitsmassnahinen, die einen Missbrauchsschutz von 
Betriebsmitteln durch andere, als die autorisierten 
Teilnehmer, sowie Schutz vor einem moglichen Abhoren der 
Funkschnittstelle beinhalten. Die Sicherheitsmassnahinen 
beziehen sich dabei auf den Schutz der Beziehung zwischen 

20 Mobilf unknetz und autorisiertem Teilnehmer. Ein spezielles 

Verfahren zur Authentisierung der Teilnehmer soil verhindern, 
dass ein Dritter die Identitat eines autorisierten 
Teilnehmers vortauschen kann. Ein Teilnehmer muss sich dazu 
mittels der auf seinem Teilnehmeridentitatsmodul (SIM) 

25 gespeicherten Da ten und Funktionen gegeniiber dem 

Mobilf unknetz authentif izieren . Es hat sich in der 
Vergangenheit immer wieder gezeigt, dass das Kompromitieren 
von Authentisierungsverf ahren, d.h. das Ausspahen des 
geheimen Schliissels KI des Teilnehmers mit entsprechendem 

30 Fachwissen und geeigneten Geratschaf ten moglich ist, indem 
Folgen von den bei der Authentisierung verwendeten 
Zuf allszahlen und Antwortzahlen, d.h. RAND/SRES-Paaren, in 
grosser Anzahl mathematischen Verfahren unterzogen werden, um 
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den geheimen Schlussel KI eines Teilnehmers zu ermitteln. 1st 
der geheime Schlussel KI erst einmal ermittelt, ist eine 
illegale Duplizierung von Teilnehmeridentitatsmodulen (SIMs) 
moglich . 

Bex dem derzeit angewendeten Authentisierungsverf ahren 
ermittelt das Mobilfunknetz mit speziellen Algorithmen and 
einem SIM-spezif ischen, geheimen Schlussel KI aus einem 
Zufallswert RAND ein Authentisierungsergebnis SRES und einen 
temporaren Schlussel KC . Dabei halt das Mobilfunknetz eine 
bestimmte Anzahl von RAND/SRES/KC-Triplets vor. will sich ein 
Teilnehmer einbuchen, sendet das Mobilfunknetz eine 
Zufallszahl RAND an das Teilnehmeridentitatsmodul SIM. Die 
SIM ermittelt mit dem gleichen, speziellen Algorithmus und 
seinem SIM-spezif ischen, geheimen Schlussel KI ein 
dazugehorendes SRES/KC-Paar und sendet die ermittelte SRES 
zuriick an das Mobilfunknetz. Das Mobilfunknetz vergleicht die 
empfangene SRES mit der vorgehaltenen SRES auf 

Ubereinstimmung, wobei bei Ubereinstimmung der Teilnehmer als 
authentif iziert gilt. Der auf beiden Seiten berechnete 
Schlussel KC wird auf beiden Seiten zur Verschlusselung der 
Ubertragung verwendet. 

Wie gesagt besteht bei dem derzeit verwendeten Verfahren die 
Moglichkeit, den Schlussel KI auszuspahen, urn so unbefugt 
Zugang zum Mobilfunknetz zu erhalten. 

Der vorliegenden Erfindung liegt deshalb die Aufgabe 
zugrunde, ein Verfahren zur Erhohung der Sicherheit von 
Authentisierungsverf ahren in digitalen Mobilf unksystemen 
vorzuschlagen, durch welches das Ausspahen des geheimen 
Schlussels nahezu unmoglich wird. 
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Diese Aufgabe wird durch die kennzeichnenden Merkmale des 
Patentanspruchs 1 gelost. 

Die Erfindung beruht nun darauf , dass im Mobilf unknetz und 
5 auf dem Teilnehmeridentitatsmodul mehrere verschiede geheime, 
SIM-spezif ische Schlussel KI vorgehalten werden, und bei der 
Authentisierung zwischen Teilnehmeridentitatsmodul und 
Mobilf unknetz aus den mehreren vorgehaltenen geheimen 
Schlusseln ein Schlussel fiir die Durchftihrung der 
10 Authentisierung ausgewahlt wird. 

Der Vorteil dieses Verfahrens liegt darin, dass ein 
Kompromitieren, d.h, ein Ausspahen des geheimen Schlussels KI 
der SIM wesentlich erschwert wird, da fiir den Angreifer nicht 
15 vorhersehbar und nicht erkennbar ist, welcher geheime 

Schlussel KI von der SIM zur Errechnung der SRES-Antwort 
verwendet wurde. 

Weiterer wesentlicher Vorteil dieses Verfahrens ist, dass 
20 eine Anderung an den Schnittstellen des Mobilf unknetz es , 

insbesondere der Luf tschnittstelle , nicht erforderlich ist, 
und ebenso keine Anderungen an den Endgeraten vorgenommen 
werden mussen. Es sind lediglich lokale sof twaretechnische 
Anderungen an einzelnen Netzkomponenten des Mobilf unknetzes 
25 sowie auf der SIM erforderlich, die mit geringem Auf wand und 
nahezu ohne zusatzliche Kosten durchfuhrbar sind. 

Vorteilhafte Weiterbildungen und Ausf uhrungsf ormen der 
Erfindung sind in den abhangigen Patentanspriichen angegeben. 

30 

Vorteilhaft erfolgt die Auswahl des verwendeten Schlussels KI 
durch die SIM nach dem Zuf allsprinzip . 
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In einer bevorzugten Ausfiihrung eriuittelt das Mobilf unknetz 
mit speziellen Algorithmen unter Vorgabe jeweils einer ^ 
Zufallszahl RAND flir alle SIM-spezif ischen Schliissel KI eines 
Teilnehmers ein SRES/KC-Paar und bildet mit dem jeweils v*' 
5 verwendeten RAND die sogenannten RAND/SRES/KC-Triplets . Diese 
Triplets warden im Mobilf unknetz vorgehalten und sind flir 
zukiinftige Authentisierungsprozeduren abruf bar . 

Zur Initiierung einer Authentisierung sendet das 
10 Mobilf unknetz einen Zufallswert RAND eines dieser Triplets an 
das Teilnehmer-Identitatsmodul SIM, wobei das 

Teilnehmeridentitatsmodul anhand der iibermittelten RAND einen 
verftigbaren Schliissel auswahlt und anhand dieses ausgewahlten 
Schliissels KI die zugehorigen Werte fur die Antwort SRES und 
15 den Schliissel KC berechnet und die Antwort SRES an das 
Mobilf unknetz zuriicksendet . 

Im Mobilf unknetz findet nun ein Vergleich auf Ubereinstimmung 
der empfangenen Antwort SRES mit alien flir den verwendeten 
20 RAND vorgehaltenen SRES-Werten statt, wobei wenn eine 
Ubereinstimmung zwischen zwei teilnehmerspezif ischen 
Antworten SRES vorliegt der Teilnehmer als authentisiert 
gilt. 

25 Vorteilhaf t wird das Mobilf unknetz nun den zu den 

iibereinstimmenden SRES gehorenden KC zur Verschliisselung der 
Ubertragung verwenden, wobei der identische Schliissel KC in 
der SIM vorliegt und auch dort zur Verschlusselung der 
Ubertragung verwendet wird. 



Nachfolgend wird ein Ausf iihrungsbeispiel der Erfindung anhand 
einer Zeichnungsf igur naher erlautert. Dabei gehen aus der 
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Zeichnung und der zugehorigen Beschreibung weitere Merkmale 
und Vorteile der Erfindung hervor. 

Figur 1 zeigt in vereinf achter Darstellung eine 
5 Authentisierungsprozedur nach dem erf indungsgemassen 

Verfahren. Zur Durchf iihrung des Verfahrens miissen fiir jeden 
Teilnehmer im Mobilf unknetz als auch auf der 
teilnehmerspezif ischen SIM mehrere geheime Schliissel KI 
abgelegt sein . 

10 

Mobilf unknetz : Teilnehmer X 





KI 1 


KI 2 


KI 3 


RAND 1 


SRES/KC 
(1,1) 


SRES/KC 
(1,2) 


SRES/KC 
(1,3) 


RAND 2 


SRES/KC 
(2,1) 


SRES/KC 
(2,2, ) 


SRES/KC 
(2,3) 


RAND 3 


SRES/KC 
(3,1) 


SRES/KC 
(3,2) 


SRES/KC 
(3,3) 











Wie die obenstehende- Tabelle zeigt sind im Mobilf unknetz fur 
jeden Teilnehmer X beispielsweise drei geheime Schlussel KI 
15 abgelegt, wobei nun das Mobilf unknetz unter Vorgabe von 
mehreren Zuf allszahlen RAND 1, RAND 2 und RAND 3 die ftir 
jeweils die geheimen Schlussel KI 1, KI 2 und KI 3 
zugehorigen SRES-Antworten und Schlussel KC berechnet und 
abspeichert . 

20 

Auch im Teilnehmeridentitatsmodul fiir den Teilnehmer X sind 
die drei moglichen Schlussel KI 1, KI 2 und KI 3 abgelegt. 

Will sich der Teilnehmer X nun im Mobilf unknetz einbuchen, so 
25 muss zunachst die Authentisierungsprozedur durchgefuhrt 
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warden, wie sie in Figur 1 angedeutet ist. Dazu sendet das 
Teilnehmeridentitatsmodul iiber ein entsprechendes Endgerat 
zunachst die Teilnehmeridentitatsnuininer IMSI an das 
Mobilfunknetz . Wird diese IMSI als zulassig erkannt, dann 
5 wahlt das Mobilfunknetz aus den fur den Teilnehiuer X 

vorgehaltenen Zufallswerten RAND einen Zufallswert, hier 
beispielsweise RAND 3 , . aus und sendet diesen zuruck an das 
Teilnehmeridentitatsmodul . Das Teilnehmeridentitatsmodul 
wahlt wiederum einen der teilnehmerspezif ischen, geheimen 

10 Schlussel KI aus, beispielsweise KI 2, und berechnet aus der 
vom Mobilfunknetz erhaltenen RAND 3 und dem KI 2 die 
zugehorige SRES-Antwort und den Schlussel KC . Die SRES- 
Antwort, die aus dem Schlussel KI 2 und der RAND 3 gebildet 
wurde, wird wieder zuruck an das Mobilfunknetz gesendet und 

15 dort mit dem vorgehaltenen SRES-Wert fur KI 2 und RAND 3 
verglichen. Stimmen diese SRES-Werte uberein, so gilt der 
Teilnehmer als authentisiert und kann sich in das 
Mobilfunknetz einbuchen. Der auf beiden Seiten vorliegende 
Schlussel KC wird wahrend der neu hergestellten Verbindung 

20 zur Verschliisselung der Dateniibertragung verwendet . 
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Patentansprliche 



l.Verfahren zur Erhohung der Sicherheit von 

Authentisierungsverf ahren in digitalen Mobilf unksystemen , 

dadurch gekezmzeichnet: , 

daft im Mobilf unknet 2 und auf einem 

10 Teilnehmeridentitatsmodul (SIM) mehrere verschiedene 

geheime, SIM-spezif ische Schlussel (KI) vorgehalten 
werden, und bei der Authentisierung zwischen 
Teilnehmeridentitatsmodul und Mobilf unknetz von der SIM 
aus den mehreren, vorgehaltenen geheimen Schlusseln ein 

15 Schlussel (KI) fiir die Durchfuhrung der Authentisierung 

au s ge wah It wi r d . 



2 . Verf ahren nach Anspruch 1, dadurch gekemizeichnet , daS die 

Auswahl des Schlussels (KI) durch das 
20 Teilnehmeridentitatsmodul SIM nach dem Zuf allsprinzip 

erf olgt . 

3 . Verf ahren nach Anspruch 1 oder 2, dadurch gekennzeichnet , 

daS das Mobilf unknetz mit speziellen Algorithmen unter 
25 Vorgabe einer Zufallszahl (RAND) fur alle SIM-spezif ischen 

Schlussel (KI) ein SRES/KC-Paar ermittelt, die mit dem 
jeweiligen RAND RAND/SRES/KC-Triplets bilden. 



30 



4 . Verf ahren nach einem der Anspriiche 1 bis 3, dadurch 

gekennzeichnet , daS die gebildeten RAND/SRES/KC-Triplets 
im Mobilf unknetz vorgehalten werden. 
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5 . Verf aliren nach einem der Anspriiche 1 bis 4, dadurch 

gekexmzeichnet , dafi vom Mobilf unknetz zur Initiierung 
einer Authentisierung ein RAND eines dieser Triplets an 
das Teilnehmeridentitatsmodul gesendet wird. 

6 . Verf aliren nach einem der Anspruche 1 bis 5, dadurch 

gekexmzeichnet , daS das Teilnehmeridentitatsmodul anhand 
der iibermittelten RAND und dem ausgewahlten Schliissel (KI) 
die zugehorigen Werte fiir SRES und KC berechnet, und die 
ermittelte Antwort an das Mobilf unknetz sendet. 



7 . Verf ahren nach einem der Anspruche 1 bis 6, dadurch 
gekexmzeichnet:, daS im Mobilf unknetz ein Vergleich auf 
Ubereinstimmung der empfangenen SRES mit alien fiir den 
verwendeten RAND vorgehaltenen SRES stattfindet. 

8 , Verf ahren nach einem der Anspruche 1 bis 7, dadurch 

gekennzelchnet: , daS das Mobilf unknetz und die SIM den zu 
dem liber e ins timmenden SRES gehorenden KC zur 
Verschlusselung der Ubertragung verwendet . 
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